Bẻ khóa hàng loạt mật khẩu cực đơn giản với công cụ AI PassGAN

Theo những thông tin được cung cấp bởi công ty an ninh mạng HomeSecurityHeroes thì trung bình PassGAN chỉ cần khoảng thời gian chưa đến sáu phút để bẻ khóa bất kỳ mật khẩu nào có ít hơn 8 ký tự. Cho dù chứa ký tự đặc biệt hay không thì cũng không làm thay đổi thời gian này.

Công cụ PassGAN chỉ mất chưa đầy một phút để bẻ khóa tới 51% các loại mật khẩu phổ biến. Nếu trong thời gian chưa đầy 1 giờ sẽ bẻ khóa được 65%. Nếu cho thời gian 1 ngày thì có khoảng 71% và trong 1 tháng thì công cụ AI sẽ có thể bẻ khóa 81%.

Công ty phát minh đã phân tích đã sử dụng PassGAN để phân tích hơn 15 triệu thông tin xác thực được lấy từ bộ dữ liệu mật khẩu bị rò rỉ của Rockyou. Theo các số liệu thì công cụ này sẽ gặp khó với những mật khẩu có nhiều hơn 18 ký tự khi mất ít nhất 10 tháng để bẻ khóa mật khẩu. Nếu mật khẩu được đặt có sự kết hợp giữa ký hiệu, số, chữ viết thường và chữ viết hoa thì công cụ PassGAN sẽ mất sáu triệu tỷ năm để bẻ khóa.

Công cụ AI - PassGAN chỉ mất một phút bẻ khóa hàng loạt mật khẩu

Với cách bẻ khóa mật khẩu truyền thống từ trước đến nay thì tin tặc sẽ so sánh danh sách ký tự với kết quả từ cơ sở dữ liệu mật khẩu phổ biến. Sau đó họ sẽ cố gắng đoán mật khẩu khả dĩ dựa trên những biến thể. Tuy nhiên, với công cụ bẻ khóa sử dụng AI thì quá trình đối chiếu và dự đoán diễn ra khá nhanh và hoàn toàn tự động.

Trong thời gian tương đối ngắn, các công cụ sử dụng thuật toán máy học như PassGAN sẽ tìm hiểu cách mật khẩu được hình thành từ các vụ rò rỉ thực. Ví dụ như, nếu mật khẩu như "password" xuất hiện trong một vụ rò rỉ thì công cụ sẽ thử những biến thể như "Passw0rd" hoặc "p@ssw0rd”. Đây sẽ là những mật khẩu khả thi để xâm nhập vào tài khoản khác. 

Do liên tục được cải tiến và "học hỏi" trong quá trình phân tích nên việc dự đoán và tạo biến thể của công cụ AI nhanh và chính xác hơn. Theo Slashgear thì đây là điều đáng lo ngại. Thế nhưng không đồng nghĩa với việc mật khẩu của người dùng luôn dễ dàng bị bẻ khóa. 

Công cụ chỉ có thể hoạt động hiệu quả nếu đã có cơ sở dữ liệu từ các vụ rò rỉ mật khẩu xảy ra trước đây. Nếu như người dùng sử dụng mật khẩu mới, không dùng chung hoặc không giống mật khẩu từng bị lộ thì sẽ giảm được đáng kể nguy cơ bị mất tài khoản.